Integritetspolicy — Northverify
Gäller från: 2026-05-06 Version: 1.8
Denna integritetspolicy beskriver hur Swe1 AB (org.nr 559341-8436) samlar in, använder och skyddar personuppgifter när du använder tjänsten Northverify ("Tjänsten"). Policyn uppfyller kraven i GDPR (EU 2016/679) och ePrivacy-direktivet.
1. Personuppgiftsansvarig
Swe1 AB Organisationsnummer: 559341-8436 E-post: privacy@northverify.com Webb: https://northverify.com
Vi har inte utsett dataskyddsombud (DPO) då detta inte krävs enligt GDPR Art. 37 för vår verksamhetsomfattning. För frågor om dataskydd, kontakta ovan e-postadress.
2. Vilka personuppgifter vi behandlar
2.1 Uppgifter du lämnar direkt
- Konto: e-postadress, krypterat lösenord
- Betalning: fakturaadress, organisationsnummer (ej kortnummer — hanteras av Stripe)
- Support: innehållet i e-post du skickar oss
2.2 Uppgifter som skapas automatiskt när du använder Tjänsten
- Scan-metadata: URL:er du analyserar, tidpunkt, resultat
- Teknisk data: IP-adress, webbläsare, enhetsinformation, språkval
- Loggdata: tidsstämplar för inloggning, API-anrop, fel
2.3 Uppgifter i scanresultat
Scanresultat innehåller tekniska uppgifter om skannade webbplatser. Dessa kan i vissa fall innehålla personuppgifter — exempelvis om din webbplats exponerar e-postadresser eller namn i sin HTML. Du är själv ansvarig för den behandlingen som personuppgiftsansvarig för din egen webbplats.
3. Ändamål och rättslig grund
| Ändamål | Uppgifter | Rättslig grund (GDPR) |
|---|---|---|
| Tillhandahålla Tjänsten | Konto, scan-data, teknisk data | Avtal (Art. 6.1.b) |
| Behandla betalningar | Fakturaadress, org.nr | Avtal + rättslig förpliktelse (Art. 6.1.b, 6.1.c) |
| Bokföring och skatt | Fakturadata | Rättslig förpliktelse (Bokföringslagen 1999:1078) |
| Kundservice | E-post, kontaktuppgifter | Berättigat intresse (Art. 6.1.f) |
| Säkerhet och fraud-prevention | IP-adresser, loggar | Berättigat intresse (Art. 6.1.f) |
| Förbättra Tjänsten / Förstå hur tjänsten används | Aggregerad besöksstatistik (via Plausible — cookieless) | Berättigat intresse (Art. 6.1.f) |
| Marknadsföring (nyhetsbrev) | E-post | Samtycke (Art. 6.1.a) — kan återkallas |
4. Lagringstider
- Aktivt konto: uppgifter bevaras så länge du har ett konto
- Uppsagt konto: raderas automatiskt 90 dagar efter uppsägning
- Bokföringsdata: bevaras 7 år enligt Bokföringslagen (1999:1078) 7 kap. 2 §
- Loggdata (säkerhet): 12 månader, därefter anonymiseras
- Avidentifierad aggregerad statistik: kan bevaras på obestämd tid
5. Var data lagras
5.1 Primär lagring — inom EU
| Data | Leverantör | Plats |
|---|---|---|
| Konto, scan-resultat, betaluppgifter | Supabase (Europe West-region) | Frankfurt, Tyskland |
| Infrastruktur för säkerhetsskanning | Hetzner Online GmbH | Nürnberg, Tyskland |
| Betalningshantering | Stripe Payments Europe | Irland (EU) |
5.2 Underbiträden (tredjepartstjänster)
Vi använder följande underbiträden:
- Cloudflare (USA/EU edge network) — Edge SSR (Cloudflare Workers) och DDoS-skydd. Täcks av EU-Commission Standard Contractual Clauses (SCC) och Data Privacy Framework.
- Simply.com (Sverige/Danmark) — DNS-hosting och e-postlagring för
northverify.com. Under EU GDPR direkt, ingen tredjelandsöverföring. - Resend (Irland, EU) — transaktionell e-post. Data lagras inom EU/EES. DPA signerat enligt GDPR Art. 28.
- Sentry GmbH (Tyskland, EU-region
*.ingest.de.sentry.io) — felrapportering och Session Replay. Laddas endast efter samtycke via cookie-bannern. Replays maskar all text och blockerar all media. - Plausible Insights OÜ (Estland, EU) — cookieless webbanalys. Laddas endast efter samtycke. Lagrar ingen IP eller cookie.
- Lovable AI Gateway (EU) — LLM-anrop för att generera sammanfattningar av scan-resultat. Endast avidentifierade findings skickas.
- WPScan Vulnerability Database (UK) — CVE-data-API.
📋 Komplett, versionerad lista finns på /sub-processors.
5.3 Tredjelandsöverföringar
Vi försöker hålla all personuppgiftsbehandling inom EU/EES. De få fall där data kan passera tredje land (t.ex. Cloudflares globala nätverk) sker under Standard Contractual Clauses (SCC 2021/914) och EU-US Data Privacy Framework.
6. Delning av uppgifter
Vi säljer aldrig dina uppgifter. Vi delar endast med:
- Underbiträden (listade i 5.2) — endast i den utsträckning som krävs för att leverera Tjänsten
- Myndigheter — vid skriftligt föreläggande (t.ex. polis, Skatteverket)
- Rådgivare (revisor, jurist) — under sekretess, vid behov
- Köpare i händelse av företagsöverlåtelse — du informeras i förväg
7. Dina rättigheter (GDPR)
Du har följande rättigheter gällande dina personuppgifter:
- Rätt till information (Art. 15) — få en kopia av alla uppgifter vi har om dig
- Rätt till rättelse (Art. 16) — korrigera felaktiga uppgifter
- Rätt till radering (Art. 17) — "rätten att bli glömd"
- Rätt till begränsning (Art. 18) — pausa behandling
- Rätt till dataportabilitet (Art. 20) — få ut data i maskinläsbart format
- Rätt att invända (Art. 21) — mot behandling baserad på berättigat intresse
- Rätt att återkalla samtycke (Art. 7) — för behandling baserad på samtycke
- Rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) — https://www.imy.se
För att utöva de flesta rättigheterna, mejla privacy@northverify.com. Vi svarar inom 30 dagar.
Radering av konto (Art. 17): Du kan radera ditt konto direkt i Inställningar under "Farozon". Raderingen sker omedelbart. Vissa juridiska dokument (samtyckesloggar, bokföring, säkerhetsaudit) anonymiseras men behålls enligt svensk lag — Bokföringslagen kräver 7 års lagring av kvitton och fakturadata.
8. Säkerhet
Vi skyddar dina uppgifter med bl.a.:
- TLS 1.2+ för all datatrafik
- Krypterad databas (AES-256 at rest hos Supabase)
- Bcrypt för lösenordshashar
- Stark autentisering via Supabase Auth (sessionstokens med kort livslängd, säkra cookies)
- Brandvägg och inbrottsdetektion (fail2ban) på våra servrar
- Åtkomst till produktionsdata begränsad till nödvändig personal
9. Dataintrång (Data Breach)
Vid ett dataintrång som sannolikt medför risk för dina rättigheter anmäler vi det till IMY inom 72 timmar enligt GDPR Art. 33. Du informeras utan onödigt dröjsmål om intrånget kan leda till hög risk enligt Art. 34.
10. Cookies
Se vår separata Cookie-policy på https://northverify.com/cookiepolicy för detaljer om cookies och liknande tekniker.
11. Barn
Tjänsten riktar sig inte till barn under 16 år och vi samlar inte medvetet in uppgifter från barn. Om du tror att ett barn har skapat ett konto, kontakta oss så raderar vi det.
12. Ändringar av denna policy
Vi uppdaterar denna policy vid behov. Väsentliga ändringar kommuniceras via e-post minst 30 dagar innan de träder i kraft. Den senaste versionen finns alltid på https://northverify.com/integritetspolicy.
13. Kontakt
Swe1 AB Org.nr: 559341-8436 E-post: privacy@northverify.com
Tillsynsmyndighet: Integritetsskyddsmyndigheten (IMY) Box 8114, 104 20 Stockholm https://www.imy.se